【特別企画】
開発者が押さえておくべき
     セキュリティ標準規格動向

〜BS、ISO/IEC、JISなどの標準化動向と現在の管理制度〜

小川 博久
シーフォーテクノロジー
2002/1/31

 e-Japan重点計画が進み、BS7799やISO/IEC 15408などの標準規格を導入していない企業の問題がクローズアップされてきている。設計・開発者は、提供するシステムにセキュリティ製品を導入すれば、それだけでよい結果が得られると考えていないだろうか? 今回は、国際標準規格を導入していない企業や導入検討している企業の設計・開発者が、各国際標準規格を理解し、何をすべきかを考えることを目標にしている。ITセキュリティ評価基準の策定は、情報セキュリティ管理との関係が深い。まずは、世界の標準化動向と現在の情報セキュリティ管理制度について解説する。

図1 セキュリティ規格の分類

 国際標準化の経緯

  インターネットを介して扱う情報において、企業の機密情報や顧客のプライバシー情報など、重要性の高いデータが占める割合が増えてきている。日本企業のトップも、最近になってようやく、情報セキュリティに対して関心を持つようになったようだ。

 世界では、今から十数年前に、ISO(国際標準化機構:International Organization for Standardization)が情報セキュリティ技術を国際標準化する必要があると判断している。それ以降、セキュリティ技術を標準化に伴う特有の問題に悩まされながらも、その活動を続けているのである。1980年代の後半、ISOは、暗号アルゴリズムを標準化する方向で進んでいた。

 しかし、当時の候補であった「DES」を国家規格として持つアメリカの反対を受けて中断した。代わりに、「暗号アルゴリズムは登録制度にすべきだ」とのアメリカの主張を受け入れる形で、暗号アルゴリズムの登録制度を国際標準として制定した(ISO/IEC 9979)。

 結果として「DES」は、米国国内での標準にとどまった。 この当時では、暗号アルゴリズムを国際標準とすること自体が時期尚早であっ たといえる。

●情報システムセキュリティの6つの定義

  情報システムのセキュリティを確保するためには、6つの定義を満たすことが必要だ。1992年、OECD(経済協力開発機構:Organization for Economic Co-operation and Development)による「情報システムのセキュリティのためのガイドライン」および、JTC 1/SC(合同技術委員会の分科委員会:Joint Technical Committee Sub Committee)21において、

  • Availability(利用可能性・可用性)
  • Confidentiality(機密性・秘匿性)
  • Integrity(一貫性・完全性)
の3項目が定義された。

 その後、新しい応用に対応するために、目的は拡大された。その解決のために、ISO/IEC TR13335の第一部*1において、

  • Accountability(釈明義務・責任追跡性)
  • Authenticity(信憑性・真正性)
  • Reliability(信頼性)

の3項目が追加定義され、6項目となった。

*1ITセキュリティマネジメントガイドラインGMITS(Guidelines for theManagement of IT Security)のTechnical Report 13335-1のこと

●専門委員会SC27とWG

  ISOは、情報システムのセキュリティを確保するために、情報セキュリティの標準化を進めることを目的とした専門委員会「JTC1/SC27」を設置した。SC27の担当領域は、下図のとおりである。

図2 SC27の主な担当領域

 また、SC27は、早期の民間システムへの対応を目指すために、さらにその下に3つのWG(Working Group)を設置した。現在、各WGの活動によって、幅広い範囲でのセキュリティ技術の標準化が進行している。このうち、暗号などパーツの標準化作業はWG2に含まれる。

セキュリティを確保するとは? 企業として、情報システムのセキュリティを確保するためにはどうすればよいのか? 19世紀後半、ダイムラーによるガソリン車の発明をきっかけに、自動車業界はエンジン開発の時代へ突入した。車の最高スピードは年々速くなったが、反面、ないがしろにされてきたセキュリティ機能の不備に起因する事故が増加した。そこで、各自動車メーカーはブレーキやバックミラーなど安全機能の充実に力を入れるようになった。

 現在、インターネットで通信される情報の重要度が増してきている現在の情報通信の環境は、まさに情報セキュリティの確保が求められるところにきている。ただし、自動車業界が国内産業から徐々に全世界にまたがる産業となったのに対し、情報通信産業は、インターネットを介している事で、初めから全世界にまたがる産業であることが大きな違いである。当然、セキュリティの確保への取り組みも異なる。

 企業経営にはセキュリティ管理が必要

  まずここでは、管理面での観点から、その必要性を考えていくことにしよう。

 情報は、現在の企業経営において非常に重要な財産であるが、目に見えない財産であるため、経営資産としての価値やその影響が見えにくく、また、その管理はさらに難しい。情報の管理が難しいゆえんは、そこに情報を扱う人の管理をも含んでいることにある。

 現在、情報漏えいの8〜9割は、企業内部における不正や人為的ミスが原因といわれている。人の管理が十分でない企業は、経営において致命的なダメージを受けることになるであろう。そこで、情報を安全に管理することは、今後の企業として生き残っていくうえでも必須要件であるといえるのではないか?

●情報セキュリティ対策を策定するためのアプローチ

  2000年9月、情報処理システムに対する安全管理の世界規格として、「ITセキュリティ管理実施基準」ISO/IEC 17799(ITセキュリティ管理実施基準:Code of practice for information security management)が制定された。情報セキュリティ対策はどこまで実施してもきりがないため、同規格は、できあいの対策を強制的に適用させるものではなく、企業経営上必要最低限の対策を策定するためのアプローチ方法を示すものとなっている。

図3 情報セキュリティ対策を策定するためのアプローチ

 ISO/IEC 17799は、CIA(Confidentiality、Integrity 、Availability)を対象に、BS7799(英国の国家基準:Information security management)のパート1(「BS7799-1」Code of practice for information security management)を基に国際標準化した規格で、10の管理分野と、36の管理対策方針、127の管理項目から構成される。

図4 ISO/IEC 17799の構成

 ここで注意しなければならないのが、ISO/IEC 17799が、AAR(Accountability、Authenticity、Reliability)を十分に満たす規格となっていないことである。つまり、人の管理に十分に対応していないのである。先にも述べたが、情報の管理は人の管理でもあり、AARを満たすためには、人は疑うべきものであることを前提に基準を策定する必要がある。したがって、国によってその見解に相違があるために、この部分の国際標準化が難航しているのである。

 ただし、どの国においてもAARを含めた解決は必要であると考えており、現在、国際標準化のために委員会が招集され、議論が繰り返されている。

●ISMS適合性評価制度とは

  しかしながら、「e-Japan重点計画」を策定するなど、早期のIT対応を目指すわが国において、AARを含めた国際標準の策定を待っていられないため、日本独自の標準を策定した。

 それが「ISMS適合性評価制度」である。ISMS適合性評価制度は、BS7799を軸にGMITSを参照して作成した評価制度であり、取引先企業に対して自社のセキュリティ管理体制が完備していることを証明することを目的としている。

 セキュリティポリシーは企業トップが作るべき


 情報という目に見えない財産の大切さを、企業トップ自らが社員の末端にまで徹底すべきである。企業のトップは、従業員に対する規制であることを十分に認識し、選定項目を必要最低限に設定することが望ましい。最も大事なことは制定後の定期的な見直しである。これらのことから、セキュリティポリシーは第三者による策定でなく、自社での作成・運用を行わなければ導入する意味がない。
 
  また、策定した各規格が業務の不足部分を補うことができれば、仕事の効率は上がり、会社の利益につながるであろう。問題の本質を見据えた、抜けのない規定を策定することが重要である。

●情報技術セキュリティの評価基準とCCの関係

 まず、設計・開発者が関係する技術系の国際標準ISO/IEC15408について解説する。

  ITセキュリティ評価基準であるISO/IEC 15408「Evaluation criteria for IT security」は、1999年12月に国際標準規格化された。現在は、コモンクライテリア(Common Criteria:CC)と同一である。

 CC は、情報技術ITセキュリティ評価のために以前から存在したが、国際標準のISO/IEC 15408:1999に合わせて改訂された。また、2000年7月に日本語訳としてJISX5070が国内標準化された。

 ISO/IEC 15408で定義されているセキュリティ評価とは、製品やシステムがあらかじめ設定されたセキュリティ評価基準に適合しているか否かを検証することである。認証された場合、ISO/IEC 15408を取得できる。認証とは、この評価による判定結果を、評価プロセスの妥当性とともに公的機関が証明することである。

 ISO/IEC 15408の認証取得のためには、ほかの規格同様に認証申請用書類の作成および保管・管理体制が必要であり、通常業務に負荷がかかる可能性がある。

  それでは何故、負荷のかかる作業や企業体制の改善を促す本標準規格への対応が、各企業で急務だと認識されているのか? それには、先に説明したセキュリティに対する各企業の意識変化だけではなく、実質的に影響を受ける動向が見られるためである。

図5 情報技術セキュリティの評価基準とCCの関係

 評価基準と電子政府の関係

 いわゆるe-Japan重点計画が進み、電子政府構想が具体化している。電子政府実現に向けて各種インフラの整備が進み、国民全体がインターネットの利便性を享受できる事になる。その際、電子政府で一番危惧されている安全性に対する保証として、このISO/IEC 15408が施行される。

  平成13年8月14日に、経済産業省商務情報政策局情報セキュリティ政策室から出された『ISO/IEC 15408を活用した調達のガイドブックVer1.04』の第1章:背景の結びとして、「本ガイドブックは、各省庁が、ISO/IEC 15408 制度を活用した政府調達を円滑に実施するために参考となる、各調達段階における制度導入の考え方について示すものである」と明記されている。

 では、実際に開発に携わる者としての作業を理解しよう。

●基準に従ったシステムの設計

 システム開発者は、基準に従ってシステムを設計・開発することになる。

 まず、利用者の要求事項がPP(利用者が作成する要求仕様書:Protection Profile)に記載され、開発者はPPに対応する形でST(Security Target)の作成を行う。STとは開発者がPPに基づいて作成する設計仕様書のことで、TOE(評価対象:Target Of Evaluation)が機能するセキュリティ範囲とそれに伴う保証を明記し、その証拠も提示する。

まず利用者がPPを作成し、提供者・評価者に送付する。提供者は、そのPPを確認し、STを評価者に通知する。その後、提供者・評価者からSTを確認したことを利用者に通知する
図6 PPとSTの関連

●設計・開発者が行うこと

  それでは、PPが存在しない場合や、PPに記載されているセキュリティ要求が不確かな場合には、STに提供物のセキュリティ要件やその範囲を明記しないでよいかということが問題になる。

  ISO/IEC 15408が導入された企業では、PPが存在しない場合はでもPPを想定してSTを作成することになる。そのため、一部には、「利用者のセキュリティに対する理解が最優先課題であり、PPにセキュリティ要件やその範囲などの記載がない場合は、その対応ができずに本規格が利用者末端にまで浸透されない」との声もある。確かにそのとおりではあるが、実際は、「通常の要求仕様書でも記載が少ないことや、解釈が異なる事もある」というのが、実担当者の本音であろう。したがって、利用者に自社の提供するセキュリティ範囲を説明し、共にセキュリティ確保に努めるというスタンスが、仕事を進める上での賢い方法ではないかと思うのである。

 セキュリティ評価基準の普及と対応

  先に説明しているとおり、セキュリティに関しては検討する材料が多く、作業的にも負荷がかかる。しかし、電子政府の調達基準として導入される側面を考えると、否応無く広まる規格である事はいうまでもない。

 もし、「自らが在籍している企業は、政府(各省庁、地方自治体など)の入札に関係ないから、ITセキュリティ評価基準も無関係である」という考え方を持っているようであれば、考え直すべきだ。直接、政府調達に参加しない企業でも、参加している企業と仕様書をやりとりする際は、同様の開発・管理体制が求められる可能性があるからだ。

  つまり、各取引会社からISO/IEC 15408規格対応を要求される形で広まることに注目すべきである。ISO/IEC 15408規格に対応した書類作成を行うためには、時間と作業が必要とされるが、実作業レベルから取組む必要がある。設計・開発者として重要な事は、利用者に確かなセキュリティ品質の提供を考えることである。そして、「第三者の客観的な物差し」である標準規格の利用を積極的に取組むべきである。

●今回のポイント

 今回、紹介した標準規格は、すべて強制規格ではなく任意規格である。実質を伴わない導入・運営は避けるべきである。設計・開発者は、できる範囲でST・TOEを書面化し、一般化することが肝要であろう。得意とする技術を設計・開発段階でISO/IEC 15408に従った体系・記述を行うと同時に、さまざまな環境や要求に実装できる柔軟性を有したパーツを選択することが重要である。

参照サイト
  ISO/IEC JTC1/SC27
  JISC(日本工業標準調査会)
  OECD(経済協力開発機構)
  経済産業省 商務情報政策局 情報セキュリティ政策室
  情報処理進行事業協会 セキュリティ評価・認証
  電子情報技術産業協会(JEITA) ITセキュリティセンター
  電子商取引安全技術研究組合(ECSEC)

関連記事
  連載 実践!情報セキュリティポリシー運用
  電子メールセキュリティポリシー導入の必要性
  自主性が要求されるセキュリティ対策の新ガイドライン
  企業IT管理者を対象としたセキュリティ研究会が発足


Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH